ESERCIZIO N. 7.1 DMZ

Transcript

1 ESERCIZIO N. 7.1 DMZ Obiettivo Si vuole collegare ad Internet una LAN, disegnata a sinistra, composta da: un router R2 (Cisco User-Defined con tre interfacce Ethernet e nessuna porta seriale) avente funzionalità di firewall packet filtering una Intranet (rappresentata dal PC di indirizzo (collegato al router R2 mediante uno switch Cisco 2950), sul quale è disponibile il server web della intranet una DMZ, nella quale è situato un Web server che risponde all'indirizzo IP Tale web server è collegato al router R2 mediante uno switch Cisco 2950 Per eseguire il collegamento ad Internet si è acquistato il router R1 (Cisco 2620) e lo si è connesso alla rete del provider con indirizzo IP

2 NOTE: Per semplicità di configurazione, si rappresenta la rete Internet esterna con il solo router R1 di tipo Cisco 2620, fornito dal provider, che vede collegato, tramite switch Cisco 2950, un Web Server avente indirizzo IP Sempre per semplicità ed evitare l'introduzione di regole di natting,vengono usati, per gli indirizzi del router R2, indirizzi pubblici al posto di indirizzi privati; in una situazione reale l'uso di indirizzi pubblici per host non visibili su Internet è sconsigliato, consentendo le tecniche di natting il risparmio di indirizzi IP pubblici e maggior sicurezza. Il firewall, rappresentato dal router R2 con tre schede di rete, va configurato con delle semplici regole di packet filtering. Non si applicano protezioni (consigliate) del tipo stateful inspection o proxy, per esigenze di semplicità dell esercizio. Fare attenzione ai cavi: Netsimk controlla anche che il tipo di cavo di collegamento sia quello corretto. Usare sempre un cavo incrociato per collegare due router ed un cavo seriale per collegare ad un dispositivo di rete il PC da usare per la configurazione. Il bottone CHECK CONFIGURATION di Netsimk evidenzia gli eventuali errori. SCOPO DELL'ESERCIZIO Si devono porre in essere delle ACL extended (*) sul router R2, che funge da firewall three-legged di tipo packet filtering, in modo che non sia, in alcun modo, possibile collegarsi, dall'esterno, al server web della rete Intranet. Il server web in Intranet deve essere raggiungibile dal solo host della DMZ L'host in Intranet deve potersi collegare a qualsiasi host esterno (quindi deve essere consentito il traffico di risposta (**)). Tutti i pacchetti ICMP devono essere disabilitati ad eccezione del ping (*) Con il termine ACL extended si intendono le regole, aventi numerazione compresa fra 100 e 199, che consentono di autorizzare o bloccare i pacchetti in base ai valori di indirizzo IP sorgente, maschera, porta sorgente, indirizzo IP destinatario, maschera, porta destinatario (**) Non si può applicare l opzione established che autorizza i pacchetti di ritorno (pacchetti con flag ACK/RST on) in quanto il simulatore non implementa questa 2

3 possibilità. Per autorizzare il ritorno dei pacchetti si deve far ricorso quindi alle porte efemerali. R1: SOLUZIONE Colleghiamo un pc a R1 con un cavo console e apriamo Hyperterm R1#enable R1#conf t Impostiamo il nome del Router Router(config)#hostname R1 Configuriamo l interfaccia Fastethernet 0/0 R1(config)#interface f0/0 R1(config-if)#ip address R1(config-if)#no shutdown R1(config-if)#exit Configuriamo l interfaccia Fastethernet 0/1 R1(config)#interface f0/1 R1(config-if)#ip address R1(config-if)#no shutdown R1(config-if)#exit Controlliamo di aver configurato correttamente R1>sh ip interface brief Any interface listed with OK? value "NO" does not have a valid configuration Interface IP-Address OK? Method Status Protocol FastEthernet0/ YES manual up down FastEthernet0/ YES manual up up Serial0/0 unassigned YES unset administratively down down Serial0/1 unassigned YES unset administratively down down Serial0/2 unassigned YES unset administratively down down 3

4 R2: Colleghiamo un pc a R2 con un cavo console e apriamo Hyperterm Router>enable Router#configure terminal Impostiamo il nome del Router Router(config)#hostname R2 Configuriamo l interfaccia Fastethernet 0/0 R2(config)#int f0/0 R2(config-if)#ip address R2(config-if)#no shutdown R2(config-if)#exit R2(config)# Configuriamo l interfaccia Fastethernet 0/1 R2(config)#int f0/1 R2(config-if)#ip address R2(config-if)#no shut R2(config-if)#exit R2(config)# Configuriamo l interfaccia Fastethernet 0/2 R2(config)#int f0/2 R2(config-if)#ip address R2(config-if)#no shutdown R2(config-if)#exit R2(config)# Verifichiamo la tabella di routing (si vedono le interfacce direttamente connesse) R2#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set C /24 is directly connected to FastEthernet0/2 C /24 is directly connected to FastEthernet0/1 4

5 C /24 is directly connected to FastEthernet0/0 Inseriamo le rotte statiche necessarie per l'accesso alla rete Internet di esempio R2(config)#ip route R2(config)#exit R2#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set C /24 is directly connected to FastEthernet0/2 C /24 is directly connected to FastEthernet0/1 C /24 is directly connected to FastEthernet0/0 S /24 [1/0] via F0/0 Ovviamente sarebbe corretto,in una situazione reale, inserire il next hop con un comando del tipo ip route In questo esercizio la rete Internet è simulata dall unico server web appartenente alla sottorete e quindi ci si può limitare a definire la route per questa rete specifica. R1: Torniamo ora ad R1 e verifichiamo la tabella di instradamento R1#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set C /24 is directly connected to FastEthernet0/0 C /24 is directly connected to FastEthernet0/1 5

6 Inseriamo gli instradamenti per le sottoreti collegate al router R2 R1(config)#ip route R1(config)#ip route R1(config)#exit Controlliamo nuovamente le tabelle di instradamento R1#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is to network S /24 [1/0] via F0/0 S /24 [1/0] via F0/0 C /24 is directly connected to FastEthernet0/0 C /24 is directly connected to FastEthernet0/1 Si noti che le rotte definite manualmente vengono evidenziate con il codice S(static). Configuriamo ora gli indirizzi ip dei server della Intranet, della DMZ e del server http in Intranet: Server http in Internet Indirizzo IP da assegnare al server telnet in Intranet: Gateway: Da questo host proviamo a pingare tutte le interfacce di rete dei router. Noteremo che il ping avviene senza problemi, in quanto le tabelle di routing sono correttamente configurate. Inoltre a questo punto non sono state ancora attivate delle ACL. Infine attiviamo su questo host l'http server (basta attivare il relativo flag nella finestra richiamabile dall icona Server Applications). Server http in DMZ Indirizzo IP del server web in DMZ : Gateway: Anche su questo host, configurato l'indirizzo IP, attiviamo l'http server. 6

7 Da questo host proviamo a pingare tutte le interfacce di rete dei router ed il server in Intranet. Noteremo che il ping avviene senza problemi. Proviamo anche ad aprire Internet Explorer (disattivando il proxy se presente usando il bottone PROXY nell'interfaccia del browser) e verifichiamo che sia possibile dalla DMZ connettersi al server web in Intranet ( ) Verifichiamo anche il contrario ossia che da sia raggiungibile il server http in DMZ (ricordarsi di disattivare in IE il proxy se impostato) Server http in Intranet Indirizzo IP del server web in Internet : Gateway: Dopo aver configurato l'indirizzo IP attiviamo l'http server. Da questo host proviamo a pingare tutte le interfacce di rete dei router ed i server in Intranet e DMZ. Anche da questo host il ping avviene senza problemi. Proviamo anche ad aprire Internet Explorer (disattivando l'eventuale proxy se presente) e verifichiamo che sia possibile connettersi al server web in Intranet ( ) e DMZ ( ). Controlliamo infine che l'http server sia accessibile da DMZ ed Intranet. Verificata la corretta configurazione della rete andiamo ora ad impostare le ACL che soddisfino i requisiti di sicurezza richiesti dall'esercizio. Andiamo quindi a configurare il nostro firewall (R2), in modo da consentire l'accesso al solo server web della DMZ isolando completamente la rete Internet. Inoltre disabilitiamo completamente il protocollo ICMP ad eccezione delle risposte (echo-reply) al comando ping inviato da Intranet e DMZ. L'interfaccia che considereremo è quella che invia/riceve il traffico a/da Internet ossia l'interfaccia f0/0 che ha indirizzo IP Le regole che verranno definite saranno applicate (con comando access-group.. in) al traffico in ingresso su questa interfaccia. Quando si definiscono delle ACL è sempre importante non far confusione sul senso del traffico. Per traffico di tipo in si intende quello che entra nel router; analogamente il traffico di tipo out è quello che lascia il router. 7

8 Per il traffico in uscita dal router sull interfaccia f0/0, non vengono definite, in questo esercizio, delle regole di filtering e quindi tutto il traffico in uscita verso Internet sarà permesso. Andiamo quindi su R2 R2#configure terminal Impostiamo l ACL per i pacchetti tcp in entrata sull interfaccia f0/0 (inbound) permettiamo tutto il traffico http, qualsiasi sia l'host di provenienza, diretto al server web in DMZ avente indirizzo R2(config)#access-list 110 permit tcp any eq 80 consentiamo inoltre solo il traffico icmp di risposta al ping inviato R2(config)#access-list 110 permit icmp any any echo-reply Nota: le regole sopra descritte, essendo di tipo extended, devono essere numerate con un valore compreso fra 100 e 199 A questo punto i requisiti sembrerebbero soddisfatti; si potrebbero applicare quindi le ACL all'interfaccia f0/0. Notiamo però che, essendo bloccato tutto il traffico TCP in ingresso sull'interfaccia f0/0, ad eccezione di quello diretto alla porta 80 del web server in DMZ, l'host in Intranet non riceverebbe risposta qualora si collegasse al server web in Internet. Infatti quando un client della Intranet si collega al server web in Internet riceve i pacchetti di risposta su porte efemerali (porta >= 1024) e questo tipo di traffico viene bloccato con le regole finora impostate. Lo stesso accade per la DMZ. Occorre quindi fare in modo che i pacchetti diretti alle porte efemerali del server web in Intranet, in risposta a pacchetti inviati precedentemente, possano passare attraverso il firewall. L'attuale versione di Netsimk non prevede l'utilizzo del parametro established (es. access-list 110 tcp any <Intranet network address> established) che consentirebbe il 8

9 transito del traffico di risposta (ossia ai pacchetti con flag ACK/RST on). Decidiamo quindi di lasciar passare, fra i pacchetti destinati alla Intranet, solo quelli destinati alle porte efemerali, assumendo, per questo solo fatto, che si tratti di pacchetti di risposta a richieste provenienti dalla Intranet. Lo stesso andrebbe fatto per la DMZ ma, ai fini dell'esercizio, effettuiamo le modifiche solo per la Intranet. Ovviamente l'apertura delle porte efemerali costituirebbe un problema di sicurezza nel caso fosse presente un trojan sul web server della Intranet in ascolto su una di queste porte. Questa è una delle ragioni che hanno portato nel tempo all introduzione di regole stateful inspection, che però esulano dal contesto di questo esercizio. Definiamo quindi la regola che consente il passaggio del traffico di risposta sull'interfaccia f0/0 ed inseriamo le regole per bloccare tutto il traffico rimanente. permettiamo tutto il traffico di ritorno diretto al server web Intranet; per ora non abilitiamo il traffico in risposta alla DMZ R2(config)#access-list 110 permit tcp any gt 1024 Per controllare che tutto sia a posto eseguiamo il comando show access -list. R2#sh access-lists access-list 110 permit tcp any host eq www access-list 110 permit icmp any any echo-reply access-list 110 permit tcp any host gt 1024 R2 E' importante ricordare che il router applica, per ogni pacchetto, le regole, nello stesso ordine con il quale sono state scritte e che se nessuna delle regole è soddisfatta il pacchetto viene scartato. Applichiamo infine l ACL all interfaccia Fastethernet 0/0 per il traffico inbound R2(config)#interface F0/0 applichiamo le regole identificate dalla chiave 110 al traffico inbound (in), ossia ai pacchetti che arrivano da altre reti su questa interfaccia ed entrano 9

10 nel router; se invece si trattasse di applicare delle regole ai pacchetti uscenti la parola da usare sarebbe out (outbound) R2(config-if)#ip access-group 110 in R2(config-if)#exit Verifichiamo quindi che: da Internet sia raggiungibile il server web in DMZ ma non quello Intranet da Intranet siano raggiungibili i server web Internet e DMZ non sia possibile il ping dall'esterno né della DMZ né di Intranet Potremo anche notare che da DMZ non si riesce a raggiungere Internet. Questo dipende dal fatto che non è stata configurata la regola per lasciare passare i pacchetti di risposta all'host in DMZ. Lasciamo agli studenti il compito di implementare tale regola. 10

11 ESERCIZIO N. 7.2 Esercizio Riepilogo Obiettivo: si vuole costruire la rete rappresentata nello schema, attraverso 4 router Cisco 2620 fra loro collegati attraverso ethernet link e link seriali basati su leased line (linea dedicata di tipo T1/E1) con velocità 64K. a) Configurare gli apparati dando gli hostname e impostando le rotte dinamiche tramite il protocollo RIP assicurandosi la raggiungibilità di ogni apparato tramite il ping. b) Provare a disattivare uno qualsiasi dei link fra i router dell'anello (settando down una delle due porte del link oppure eliminando il cavo) e verificare cosa succede alle tabelle di routing. c) Controllare che ogni PC pinghi correttamente i rimanenti, a riprova che il RIP ha sistemato correttamente le tabelle di routing, 11

12 SOLUZIONE: Si configurano gli ip e i default gateway dei PC come visto nelle lezioni precedenti. CONFIGURIAMO LO SWITCH SW1: Switch>enable Switch#configure terminal Switch(config)#hostname SW1 SW1(config)#interface vlan 1 SW1(config-if)#ip address SW1(config-if)#exit SW1(config)#ip default-gateway SW1(config-if)#no shutdown %LDXX - Interface vlan 1, changed state to up SW1(config)#exit CONFIGURIAMO LO SWITCH SW2: Switch>enable Switch#configure terminal Switch(config)#hostname SW2 SW2(config)#interface vlan 1 SW2(config-if)#ip address SW2(config-if)#exit SW2(config)#ip default-gateway SW2(config-if)#no shutdown %LDXX - Interface vlan 1, changed state to up SW2(config)#exit CONFIGURIAMO LO SWITCH SW3: Switch>enable Switch#configure terminal Switch(config)#hostname SW3 SW3(config)#interface vlan 1 SW3(config-if)#ip address SW3(config-if)#exit SW3(config)#ip default-gateway SW3(config-if)#no shutdown %LDXX - Interface vlan 1, changed state to up SW3(config)#exit 12

13 CONFIGURIAMO LO SWITCH SW4: Switch>enable Switch#configure terminal Switch(config)#hostname SW4 SW4(config)#interface vlan 1 SW4(config-if)#ip address SW4(config-if)#exit SW4(config)#ip default-gateway SW4(config-if)#no shutdown %LDXX - Interface vlan 1, changed state to up SW4(config)#exit CONFIGURIAMO IL ROUTER R1: Configuriamo l hostname Router>enable Router#configure terminal Router(config)#hostname R1 Configuriamo l interfaccia FastEthernet 0/0 R1(config)#interface F0/0 R1(config-if)#ip address R1(config-if)#no shutdown R1(config-if)#exit Configuriamo l interfaccia FastEthernet 0/1 R1(config)#interface F0/1 R1(config-if)#ip address R1(config-if)#no shutdown R1(config-if)# %LDXX - Line protocol on Interface FastEthernet0/1, changed state to up R1(config-if)#exit Configuriamo l interfaccia Serial 0/0 R1(config)#interface S0/0 R1(config-if)#ip address R1(config-if)#no shutdown R1(config-if)# %LDXX - Interface Serial0/0, changed state to down R1(config-if)#exit 13

14 Guardo se è DCE o DTE R1(config)#exit R1#show controllers S0/0 <Blah blah blah for a few lines> buffer size 1524 HD unit -1, V.35 DCE cable, no clock <Blah blah blah for LOTS more lines... E DCE quindi devo impostare il Clock su questa interfaccia R1#configure terminal R1(config)#interface S0/0 R1(config-if)#clock rate R1(config-if)#exit Abilito il RIP versione 2 (in quanto la versione 1 non supporta reti con netmask differenti) R1(config)#router rip R1(config-router)#version 2 R1(config-router)#network R1(config-router)#network R1(config-router)#network R1(config-router)#exit CONFIGURIAMO IL ROUTER R2: Configuriamo l hostname Router>enable Router#configure terminal Router(config)#hostname R2 Configuriamo l interfaccia FastEthernet 0/0 R2(config)#interface F0/0 R2(config-if)#ip address R2(config-if)#no shutdown R2(config-if)# %LDXX - Line protocol on Interface FastEthernet0/0, changed state to up R2(config-if)#exit Configuriamo l interfaccia FastEthernet 0/1 R2(config)#interface F0/1 R2(config-if)#ip address R2(config-if)#no shutdown %LDXX - Line protocol on Interface FastEthernet0/1, changed state to up R2(config-if)# exit 14

15 Configuriamo l interfaccia Serial 0/0 R2(config)#interface S0/0 R2(config-if)#ip address R2(config-if)#no shutdown R2(config-if)#exit Guardo se è DCE o DTE R2#show controllers S0/0 <Blah blah blah for a few lines> buffer size 1524 HD unit -1, V.35 DTE cable (no clock detected) <Blah blah blah for LOTS more lines... E DTE quindi devo impostare il Clock sull interfaccia alla parte opposta del cavo. Abilito il RIP R2#configure terminal R2(config)#router rip R2(config-router)#version 2 R2(config-router)#network R2(config-router)#network R2(config-router)#network R2(config-router)#exit CONFIGURIAMO IL ROUTER R3: Configuriamo l hostname Router>enable Router#configure terminal Router(config)#hostname R3 Configuriamo l interfaccia FastEthernet 0/0 R3(config)#interface F0/0 R3(config-if)#ip address R3(config-if)#no shutdown R3(config-if)#exit 15

16 Configuriamo l interfaccia FastEthernet 0/1 R3(config)#interface F0/1 R3(config-if)#ip address R3(config-if)#no shutdown %LDXX - Line protocol on Interface FastEthernet0/1, changed state to up R3(config-if)#exit Configuriamo l interfaccia Serial 0/0 R3(config)#interface S0/0 R3(config-if)#ip address R3(config-if)#clock rate R3(config-if)#no shutdown R3(config-if)# %LDXX - Line protocol on Interface Serial0/0, changed state to up R3(config-if)#exit Abilito il RIP sulle tre reti connesse al nostro router R3(config)#router rip R3(config-router)#version 2 R3(config-router)#network R3(config-router)#network R3(config-router)#network R3(config-router)#exit CONFIGURIAMO IL ROUTER R4: Configuriamo l hostname Router>enable Router#configure terminal Router(config)#hostname R4 Configuriamo l interfaccia FastEthernet 0/0 R4(config)#interface F0/0 R4(config-if)#ip address R4(config-if)#no shutdown R4(config-if)# %LDXX - Line protocol on Interface FastEthernet0/0, changed state to up R4(config-if)#exit 16

17 Configuriamo l interfaccia FastEthernet 0/1 R4(config)#interface F0/1 R4(config-if)#ip address R4(config-if)#no shutdown R4(config-if)# %LDXX - Line protocol on Interface FastEthernet0/1, changed state to up R4(config-if)#exit Configuriamo l interfaccia Serial 0/0 R4(config)#interface S0/0 R4(config-if)#ip address R4(config-if)#clock rate R4(config-if)#no shutdown R4(config-if)# %LDXX - Line protocol on Interface Serial0/0, changed state to up R4(config-if)#exit R4(config)#exit Guardiamo le tabelle di routing R4#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set Network is subnetted, 2 subnets C /30 is directly connected to Serial0/0 C /30 is directly connected to FastEthernet0/0 C /24 is directly connected to FastEthernet0/1 Abilito il RIP sulle tre reti connesse al nostro router R4#configure terminal R4(config)#router rip R4(config-router)#version 2 R4(config-router)#network R4(config-router)#network R4(config-router)#network R4(config-router)#interface F0/1 R4(config-if)#ip address R4(config-if)#exit R4(config)#exit 17

18 Andiamo quindi a vedere di nuovo le tabelle di routing R4#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set Network is subnetted, 4 subnets R /30 [120/1] via S0/0 C /30 is directly connected to Serial0/0 C /30 is directly connected to FastEthernet0/0 R /30 [120/1] via F0/0 R /24 [120/1] via S0/0 R /24 [120/2] via S0/0 R /24 [120/1] via F0/0 C /24 is directly connected to FastEthernet0/1 Come si può vedere è sono state aggiunte le nuove entry per le reti , , , e Testiamo ora se il PC1 riesce a raggiungere gli altri PC, gli SWITCH e i ROUTERS PC 2: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=128 Reply from on Eth, time<10ms TTL=128 Reply from on Eth, time<10ms TTL=128 Reply from on Eth, time<10ms TTL=128 SW 1: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=128 Reply from on Eth, time<10ms TTL=128 Reply from on Eth, time<10ms TTL=128 Reply from on Eth, time<10ms TTL=12 18

19 R1 F0/1: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=80 Reply from on Eth, time<10ms TTL=80 Reply from on Eth, time<10ms TTL=80 Reply from on Eth, time<10ms TTL=80 R1 F0/0: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=80 Reply from on Eth, time<10ms TTL=80 Reply from on Eth, time<10ms TTL=80 Reply from on Eth, time<10ms TTL=80 R2 F0/0: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=80 Reply from on Eth, time<10ms TTL=80 Reply from on Eth, time<10ms TTL=80 Reply from on Eth, time<10ms TTL=80 R2 F0/1: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 SW 3: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 19

20 PC 5: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 PC 6: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 R2 S0/0: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 R3 S0/0: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=78 Reply from on Eth, time<10ms TTL=78 Reply from on Eth, time<10ms TTL=78 Reply from on Eth, time<10ms TTL=78 R3 F0/1: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=78 Reply from on Eth, time<10ms TTL=78 Reply from on Eth, time<10ms TTL=78 Reply from on Eth, time<10ms TTL=78 20

21 SW 2: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=125 Reply from on Eth, time<10ms TTL=125 Reply from on Eth, time<10ms TTL=125 Reply from on Eth, time<10ms TTL=125 PC 3: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=125 Reply from on Eth, time<10ms TTL=125 Reply from on Eth, time<10ms TTL=125 Reply from on Eth, time<10ms TTL=125 PC 4: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=125 Reply from on Eth, time<10ms TTL=125 Reply from on Eth, time<10ms TTL=125 Reply from on Eth, time<10ms TTL=125 R3 F0/0: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=78 Reply from on Eth, time<10ms TTL=78 Reply from on Eth, time<10ms TTL=78 Reply from on Eth, time<10ms TTL=78 R4 F0/0: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 21

22 R4 F0/1: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 Reply from on Eth, time<10ms TTL=79 SW 4: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 PC 7: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 PC 8: C:>ping Pinging with 32 bytes of data: Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 Reply from on Eth, time<10ms TTL=126 22

23 SIMULAZIONE DI UNA CADUTA DI UN LINK Andiamo sul router R4 e guardiamo le tabelle di routing R4#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set Network is subnetted, 4 subnets R /30 [120/1] via S0/0 C /30 is directly connected to Serial0/0 C /30 is directly connected to FastEthernet0/0 R /30 [120/1] via F0/0 R /24 [120/1] via S0/0 R /24 [120/2] via S0/0 R /24 [120/1] via F0/0 C /24 is directly connected to FastEthernet0/1 Poniamo l attenzione sulla rete dalle tabelle di routing; vediamo che il RIP instradera i pacchetti via R1 ( ). Simuliamo ora la caduta del link tra R4 e R1 e vediamo come agisce il RIP. R4#configure terminal R4(config)#interface S0/0 R4(config-if)#shutdown R4(config-if)# %LDXX - Interface Serial0/0, changed state to administratively down %LDXX - Line protocol on Interface Serial0/0, changed state to down Attendiamo 30 secondi e riguardiamo le tabelle di routing R3(config-router)#exit R3(config)#exit R3#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set Network is subnetted, 3 subnets 23

24 R /30 [120/1] via S0/0 C /30 is directly connected to FastEthernet0/0 C /30 is directly connected to Serial0/0 R /24 [120/2] via S0/0 R /24 [120/1] via S0/0 C /24 is directly connected to FastEthernet0/1 R /24 [120/1] via F0/0 Vediamo che il RIP ha ricalcolato le nuove rotte per le reti ,

25 25